• Presentazione
  • Redazione
  • Contatti
  • Login
Giurista Consapevole
Abbonati
  • Home
  • Diritto Civile
  • Diritto Penale
  • Diritto Amministrativo
  • Normativa
  • News
  • Contatti
Giurista Consapevole
  • Home
  • Diritto Civile
  • Diritto Penale
  • Diritto Amministrativo
  • Normativa
  • News
  • Contatti
No Result
View All Result
Giurista Consapevole
No Result
View All Result
Home Diritto Civile

*Salute e medicina – Diritti fondamentali – Sanitario che disvela notizie su un paziente e violazione della privacy

by Giulia Pieruccini - Avvocato del foro di Bologna
17 Ottobre 2023
in Diritto Civile
0
Share on FacebookShare on Twitter

“Il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti.

Invero, questa Corte ha già ritenuto che anche il semplice riferimento ad un’assenza dal lavoro “per malattia” costituisca un dato personale “relativo alla salute” del soggetto cui l’informazione si riferisce (Cass. 8 agosto 2013, n. 18980, in motiv.), così come l’ostensione di una situazione di invalidità sia pur genericamente indicata (Cass. 26 giugno 2018, n. 16816), la necessità del lavoratore di sottoporsi a “consulenza psichiatrica” (Cass. 31 gennaio 2018, n. 2367, non massimata), la indicazione della causale del bonifico richiesto in favore di un beneficiario dell’indennizzo previsto dalla L. n. 210 del 1992, in favore di coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione e dei ai prossimi congiunti di persone venute meno a causa dell’infezione da trasfusione o vaccinazione (Cass., sez. un., 27-122017, n. 30981)”.

 

 

  1. – Con il primo motivo si denuncia la violazione e falsa applicazione dell’art. 32 Cost., art. 9,par. 4, e considerando artt. 10,35e 51 reg. UE n. 679/2016, art. 83 Codice dei dati personali e dei principi di correttezza e riservatezza ex L. n. 196 del 1993, in quanto si trattava incontestatamente di dati relativi alla salute, nè il considerando contiene precetti normativi in sé, ma è solo esplicativo e non reca indicazioni tassative. L’art. 83, lett. h), del Codice predetto, ancora in vigore in virtù del D.Lgs. n. 101 del 2018, art. 22, prevede che le strutture pubbliche, che erogano prestazioni sanitarie, debbano adottare misure idonee a garantire il rispetto dei diritti ed il segreto professionale, ferme restando le regole sul trattamento dei dati sensibili; e, tra le misure di sicurezza, debbono prevedere procedure, anche di formazione del personale, dirette a prevenire “un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute”. Ne deriva che la mera correlazione tra la paziente e il reparto di degenza abbia costituito illecito trattamento dei dati sulla salute della stessa.

Con il secondo motivo, deduce la violazione o falsa applicazione del principio di riservatezza, di cui alla L. n. 194 del 1978, atteso che il legislatore ha attribuito tutela alle donne che ricorrono ad intervento di interruzione volontaria della gravidanza, ed il richiamato principio fu violato, sebbene non furono fornite informazioni che potessero rivelare il trattamento di c.d. IVG.

  1. – I due motivi, da trattare congiuntamente in quanto intimamente connessi, sono fondati, nei limiti di seguito esposti.

2.1. – Secondo l’art. 4, n. 15, reg. UE n. 679/2016, i “dati relativi alla salute” sono definiti “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, e, ai sensi del n. 12, per “violazione dei dati personali” si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

La sanzione del Garante è stata comminata per violazione dell’art. 5, par. 1, lett. a), d) e f), art. 9 e art. 32, par. 1, lett. b) del Regolamento.

L’art. 5, sui principi applicabili al trattamento di dati personali, richiede che essi siano: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”); (…) d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”); (…); f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

L’art. 32, sulla “sicurezza del trattamento”, prevede che – tenuto conto dello “stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” – il titolare del trattamento e il responsabile del trattamento siano tenuti a predisporre “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, comprendenti, ad esempio, la cifratura dei dati personali, la riservatezza ed integrità dei sistemi di trattamento, il ripristino tempestivo della disponibilità dei dati personali in caso di incidente fisico o tecnico, una procedura per verificare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.2. – Nella specie, all’Azienda sanitaria, nel caso in esame, è stata contestata la violazione dell’art. 32, par. 1, lett. b), concernente specificamente “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

Reputa il Collegio, alla stregua delle parole usate, che il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti.

Invero, questa Corte ha già ritenuto che anche il semplice riferimento ad un’assenza dal lavoro “per malattia” costituisca un dato personale “relativo alla salute” del soggetto cui l’informazione si riferisce (Cass. 8 agosto 2013, n. 18980, in motiv.), così come l’ostensione di una situazione di invalidità sia pur genericamente indicata (Cass. 26 giugno 2018, n. 16816), la necessità del lavoratore di sottoporsi a “consulenza psichiatrica” (Cass. 31 gennaio 2018, n. 2367, non massimata), la indicazione della causale del bonifico richiesto in favore di un beneficiario dell’indennizzo previsto dalla L. n. 210 del 1992, in favore di coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione e dei ai prossimi congiunti di persone venute meno a causa dell’infezione da trasfusione o vaccinazione (Cass., sez. un., 27-122017, n. 30981).

2.3. – Questa Corte ha anche chiarito che, in tema di sanzioni amministrative, l’opposizione all’ordinanza-ingiunzione non configura un’impugnazione dell’atto, ed introduce, piuttosto, un ordinario giudizio sul fondamento della pretesa dell’autorità amministrativa, devolvendo al giudice adito la piena cognizione circa la legittimità e la fondatezza della stessa, con l’ulteriore conseguenza che il giudice ha il potere-dovere di esaminare l’intero rapporto, con cognizione non limitata alla verifica della legittimità formale del provvedimento, ma estesa – nell’ambito delle deduzioni delle parti – all’esame completo nel merito della fondatezza dell’ingiunzione, ivi compresa la determinazione dell’entità della sanzione sulla base di un apprezzamento discrezionale (e multis, Cass. 15 giugno 2020, n. 11481; Cass. 27 dicembre 2018, n. 33373, non mass.; Cass. 10 aprile 2018, n. 8792, non mass.; Cass. 9 gennaio 2017, n. 192; Cass. 17 agosto 2016, n. 17143; Cass. 2 aprile 2015, n. 6778, in relazione alla L. 24 novembre 1981, n. 689, art. 23; e già Cass. 17 aprile 2013, n. 9255; Cass. 24 marzo 2004, n. 5877; Cass. 10 dicembre 1996, n. 10976).

Invero, in tema di sanzioni amministrative pecuniarie, spetta al potere discrezionale del giudice determinarne l’entità, entro i limiti previsti dalla legge, allo scopo di commisurarla alla gravità del fatto concreto, globalmente desunta dai suoi elementi oggettivi e soggettivi.

Infatti, il giudizio di opposizione non ha ad oggetto l’atto, ma il rapporto, con conseguente cognizione piena del giudice, che potrà e dovrà valutare le deduzioni difensive proposte in sede amministrativa (eventualmente non esaminate o non motivatamente respinte), in quanto riproposte nei motivi di opposizione, decidendo su di esse con pienezza di poteri, sia che le stesse investano questioni di diritto che di fatto (Cass., sez. un., 28 gennaio 2010, n. 1786).

Per quanto specificamente attiene alle sanzioni comminate dal Garante per la protezione dei dati personali, per il disposto del D.Lgs. n. 196 del 2003, art. 166, comma 7, nell’adozione dei provvedimenti sanzionatori si osservano, in quanto applicabili, della L. 24 novembre 1981, n. 689, artt. da 1 a 9, artt. da 18 a 22 e artt. da 24 a 28.

Tra essi, la L. n. 689 del 1981, art. 22, dispone che l’opposizione è regolata dal D.Lgs. 1 settembre 2011, n. 150, art. 6.

Il D.Lgs. n. 150 del 2011, art. 6, prevede, al comma 11, che il giudice accoglie l’opposizione quando non vi sono prove sufficienti della responsabilità dell’opponente; al comma 12, che il giudice possa, con la sentenza che accoglie l’opposizione, anche modificare l’ordinanza-ingiunzione limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale.

Il giudizio di commisurazione della sanzione deve tenere conto, a norma dell’art. 83 del regolamento, concernente le “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, del precetto generale secondo cui le sanzioni amministrative “siano in ogni singolo caso effettive, proporzionate e dissuasive”, e che, al momento di fissare l’ammontare della sanzione, si tenga debito conto dei seguenti elementi:

  1. a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  2. b) il carattere doloso o colposo della violazione;
  3. c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  4. d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32;
  5. e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  6. f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  7. g) le categorie di dati personali interessate dalla violazione;
  8. h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  9. i) qualora siano stati precedentemente disposti provvedimenti di cui all’art. 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  10. j) l’adesione ai codici di condotta approvati ai sensi dell’art. 40 o ai meccanismi di certificazione approvati ai sensi dell’art. 42;
  11. k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Ai sensi dell’art. 83, commi 4 e 5, non vi è una misura minima della sanzione, per i casi di minore gravità complessiva.

2.4. – Ne deriva che, nel caso di specie, il giudice del merito dovrà prendere in considerazione, sotto il profilo dell’induzione in errore dell’Azienda, plurimi elementi di fatto, come già accertati dal giudice del merito, quali: a) la condotta della paziente stessa, che non soltanto fornì entrambi i numeri di telefono per il contatto, ivi compreso quello utilizzato, ma, soprattutto, non attese, come le era stato chiesto ed indicato, il ritorno dell’infermiera per ottenere la corretta terapia; b) la condotta di estrema diligenza dell’infermiera nel preoccuparsi di reperire la paziente, sebbene questa si fosse inopportunamente e volontariamente allontanata prima del permesso di congedo medico dalla struttura; c) l’essere la notizia comunicata, pur attinente genericamente la salute, rimasta del tutto indeterminata, potendo ben riguardare una mera visita ordinaria di controllo, sia pure in quel reparto, senza nessuna lesione della “dignità” dell’interessata, che avrebbe potuto essere in gioco solo ove fosse stata comunicata l’effettiva ragione dell’intervento terapeutico richiesto (di “dignità” della donna e della persona indicata come padre del concepito parla invero proprio la L. n. 194 del 1978, art. 5, secondo cui la struttura sanitaria deve, specialmente quando la richiesta di interruzione della gravidanza sia motivata dall’incidenza delle condizioni economiche, o sociali, o familiari sulla salute della gestante, esaminare con la donna e con il padre, ove la donna lo consenta, nel rispetto della dignità e della riservatezza della donna e della persona indicata come padre del concepito, le possibili soluzioni dei problemi proposti, di aiutarla a rimuovere le cause che la porterebbero alla interruzione della gravidanza, di metterla in grado di far valere i suoi diritti di lavoratrice e di madre, di promuovere ogni opportuno intervento atto a sostenere la donna, offrendole tutti gli aiuti necessari sia durante la gravidanza sia dopo il parto); d) il conseguente impatto limitato della notizia di una visita in un reparto sulla sfera giuridica dell’interessata; e) pure rileva la condotta della Asl, che immediatamente ritenne di notificare al Garante ed attuare altresì ulteriori misure interne; f) infine, potrà il giudice del merito considerare l’emergenza indotta da epidemia Covid in corso, che richiedeva uno sforzo straordinario del sistema sanitario per far fronte a ben altre criticità e pericoli per la vita dei pazienti.

Occorrerà altresì in generale considerare l’art. 83 del regolamento, sopra menzionato, con il principio relativo alle sanzioni amministrative, che, ove, comminate, devono essere “in ogni singolo caso effettive, proporzionate e dissuasive”: dovendo, quindi, rilevare se il tipo di condotta, che ha portato all’illegittima diffusione dei dati, sia tale da essere efficacemente contrastata da una sanzione amministrativa o non sia dipesa da una situazione di concomitanza di circostanze del tutto peculiari e difficilmente in sé ripetibili.

Infine, ai sensi del D.Lgs. 10 agosto 2018, n. 101, art. 22, comma 13, è prevista in via generale una ulteriore limitazione dell’entità della sanzione, nei primi mesi di entrata in vigore del decreto, come nella specie.

In definitiva, il giudice del merito dovrà rivalutare tutte le circostanze del caso e l’errore umano, anche sotto il profilo se fu circoscritto ed indotto dal soggetto i cui dati furono comunicati.

  1. – La sentenza impugnata è cassata, con rinvio innanzi al Tribunale di Ravenna, in diversa composizione, perché rivaluti la controversia, alla stregua dei principi sopra esposti.

Cass. civ, I, ord., 11.10.2023, n. 28417

Advertisement Banner
Next Post

Processo – Giustizia “digitale” e indice dei documenti

Furto, fine di profitto e non necessità per l'agente di perseguire una utilità "patrimoniale"

Urbanistica ed edilizia - Abusi edilizi, ordine di demolizione, inosservanza e irrogabilità della sanzione pecuniaria

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ULTIMI ARTICOLI

*Salute e medicina – Vaccinazioni non obbligatorie, difetto di consenso informato e risarcimento danni

19 Novembre 2024

*Salute e medicina – Regioni che finanziano la spesa sanitaria e norme statali sul contenimento della spesa

19 Novembre 2024

*Furto di energia elettrica, destinazione al pubblico servizio e pena aggravata

18 Novembre 2024

* Successione testamentaria – disposizione istitutiva sottoposta a condizione sospensiva il cui avveramento dipende anche dalla volontà del testatore – condotta del testatore successiva alla redazione del testamento che rende impossibile l’avverarsi della condizione sospensiva – revoca tacita della disposizione testamentaria – non configurabilità;

18 Novembre 2024

*Famiglia – Abbandono di minori o incapaci, dolo e accettazione del rischio con temporanea interruzione di assistenza

18 Novembre 2024

*Processo – PA soccombente, mancata esecuzione in forma specifica della sentenza, giudizio di ottemperanza, presupposti per l’azione di risarcimento danni per equivalente e riparto dell’onere probatorio

18 Novembre 2024

Copyright © 2019 Giurista Consapevole - Registrazione n°97 del 9 Luglio 2019 presso il Tribunale di Roma

No Result
View All Result
  • Home
  • Diritto Civile
  • Diritto Penale
  • Diritto Amministrativo
  • Normativa
  • News
  • Contatti

Copyright © 2019 Giurista Consapevole - Registrazione n°97 del 9 Luglio 2019 presso il Tribunale di Roma

Cookies
To make this site work properly, we sometimes place small data files called cookies on your device. Most big websites do this too.
Accept